Lnux系统安全配置标准V

服务器系统安全加固技术要求——Linux服务器

中国电信股份有限公司广州研究院

2009年3月

目? 录

1补丁

1.1系统补丁

要求及时安装系统补丁。更新补丁前，要求先在测试系统上对补丁进行可用性和兼容性验证。

系统补丁安装方法为（以下示例若无特别说明，均以RedHat Linux为例）：使用up2date命令自动升级或在下载对应版本补丁手工单独安装。对于企业版5及之后的版本，可以直接使用yum工具进行系统补丁升级：

yum update

1.2其他应用补丁

除Linux开发商官方提供的系统补丁之外，基于Linux系统开发的服务和应用（如APACHE、PHP、OPENSSL、MYSQL等）也必须安装最新的安全补丁。

以RedHat Linux为例，具体安装方法为：首先确认机器上安装了gcc及必要的库文件。然后再应用官方网站下载对应的源代码包，如 *.，并解压：tar zxfv *.

根据使用情况对编译配置进行修改，或直接采用默认配置。

cd *

./configure

进行编译和安装：

make

make install

注意：补丁更新要慎重，可能出现硬件不兼容、或者影响当前应用系统的情况。安装补丁前，应该在测试机上进行测试。

2账号和口令安全配置基线

2.1账号安全控制要求

系统中的临时测试账号、过期无用账号等必须被删除或锁定。以RedHat Linux为例，设置方法如下：

锁定账号：/usr/sbin/usermod -L -s /dev/null $name

删除账号：/usr/sbin/user $name

2.2口令策略配置要求

要求设置口令策略以提高系统的安全性。例如要将口令策略设置为：非root 用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。以RedHat Linux为例，可在/etc/文件中进行如下设置：

vi /etc/

PASS_MAX_DAYS 90

PASS_MIN_DAYS 7

PASS_MIN_LEN 6

PASS_WARN_AGE 28

2.3root登录策略的配置要求

禁止直接使用root登陆，必须先以普通用户登录，然后再su成root。禁止root账号远程登录，以RedHat Linux为例，设置方法为：

touch /etc/securetty

echo “console” > /etc/securetty

2.4root的环境变量基线

root环境变量基线设置要求如表2-1所示：

表 2-1 root环境变量基线设置

3网络与服务安全配置标准

3.1最小化启动服务

1、Xinetd服务

如果xinetd服务中的服务，都不需要开放，则可以直接关闭xinetd服务。

chkconfig --level 12345 xinetd off

2、关闭邮件服务

1) 如果系统不需要作为邮件服务器，并不需要向外面发邮件，可以直接关闭邮件服务。

chkconfig --level 12345 sendmail off

2) 如果不需要作为邮件服务器，但是允许用户发送邮件，可以设置Sendmail不运行在daemon模式。

编辑/etc/sysconfig/senmail文件，增添以下行：

DAEMON=no

QUEUE=1h

设置配置文件访问权限：

cd /etc/sysconfig

/bin/chown root:root sendmail

/bin/chmod 644 sendmail

3、关闭图形登录服务（X Windows）

在不需要图形环境进行登录和操作的情况下，要求关闭X Windows。

编辑/etc/inittab文件，修改id:5:initdefault:行为id:3:initdefault:

设置配置文件访问权限：

chown root:root /etc/inittab

chmod 0600 /etc/inittab

4、关闭X font服务器服务

如果关闭了X Windows服务，则X font服务器服务也应该进行关闭。

chkconfig xfs off

5、关闭其他默认启动服务

系统默认会启动很多不必要的服务，有可能造成安全隐患。建议关闭以下不必要的服务：

apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups chkconfig --level 12345 服务名 off

在关闭上述服务后，应同时对这些服务在系统中的使用的账号（如rpc、rpcuser、lp、apache、http、httpd、named、dns、mysql、postgres、squid 等）予以锁定或删除。

usermod -L 要锁定的用户

3.2最小化xinetd网络服务

1、停止默认服务

要求禁止以下Xinetd默认服务：

chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell